Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einige Passwort-Manager untersucht und dabei zumindest Verbesserungsbedarf festgestellt. So ermöglichen einige der getesteten Programme theoretisch möglicherweise den Herstellern, auf die gespeicherten Passwörter zuzugreifen. Das ist jedoch kein Grund, auf den Einsatz von Passwort-Managern zu verzichten, betont die oberste IT-Sicherheitsbehörde des Landes.
Weiterlesen nach der Anzeige
Für die Untersuchung hat das BSI zehn Passwort-Manger ausgesucht, die gewisse Kriterien erfüllen: Sie müssen für die populärsten Betriebssysteme verfügbar sein, also Windows, macOS, Android und iOS. Zudem müssen die Anwendungen über sichere Vetriebskanäle verfügbar sein – Verbraucher sollten sie auch nur darüber beziehen, ergänzt die Behörde. Aus den 24 mit dieser Filterung in der Vorauswahl gelandeten Passwort-Managern landeten zwei der in den weitverbreitesten Webbrowsern integrierten im Testfeld, der Chrome-Passwort-Manager und der Mozilla-Firefox-Passwort-Manager. Aus den übrigen hat das BSI eine Zufallsauswahl getroffen: 1Password, Avira Password Manager, mSecure – Password Manager, PassSecurium, S-Trust Passwort-Manager und SecureSafe Password-Manager. Zusätzlich kamen stellvertretend für die App-Klasse der KeePass-Abkömmlinge KeePassXC und KeePass2Android in die Testaufstellung.
Im Dokument finden sich die Einschätzungen zu den Passwort-Managern konkret ab Seite 23. In 1Password hat das BSI keine Designfehler entdeckt. Der Avira-Passwort-Manager nutzt nicht überprüfbare kryptografische Algorithmen, was von Verbrauchern Vertrauen verlangt; die biometrische Authentifizierung sollten Nutzer deaktivieren und das Masterpasswort zusätzlich an einem sicheren Ort aufbewahren. Beim Chrome-Passwort-Manager bemängelt das BSI potenziellen Datenzugriff durch den Hersteller, sofern keine Passphrase von Nutzern gesetzt wurde; die On-Device-Verschlüsselung lasse theoretisch Zugriff bei aktiver Benutzung zu. Nicht alle Felder werden verschlüsselt, etwa Nutzernamen liegen im Klartext vor.
Bei Keepass2Android hat das BSI keine Bedenken angemeldet, lediglich ein Backup sollten Nutzerinnen und Nutzer selbst anlegen. Die Einordnung von KeePassXC sieht nahezu identisch aus, das BSI rät jedoch dazu, einen Zeitraum einzustellen, nach dem die App sich selbst gegen Zugriff sperrt. Der Mozilla Firefox Passwort Manager kann laut BSI bedenkenlos genutzt werden, sofern die Einstellung „Hauptpasswort setzen“ aktiviert wurde. Die Synchronisation mit dem Mozilla-Konto sollten Interessierte aktivieren oder alternativ selbst für eine Sicherung sorgen. Beim mSecure Password Manager könnte der Hersteller theoretisch auf die Daten zugreifen, auch sonst ist das BSI wenig angetan von der Reaktion des Herstellers: „Insgesamt erfüllt das Konzept nicht die üblichen Erwartungen an Passwortmanager. Weitere Eigenschaften stützen diese Sicherheitsbedenken“; wer mit dem Gedanken spielt, die Software zu nutzen, sollte prüfen, ob „dem Hersteller ohne objektive Grundlage das notwendige Vertrauen“ entgegenzubringen sei. Im Klartext: Finger weg davon.
Deutlicher wird das BSI bei PassSecurium: „Die Tatsache, dass der Hersteller jederzeit auf gespeicherte Passwörter von Nutzenden zugreifen kann, ist mit grundsätzlichen Sicherheitsanforderungen an Passwort-Manager unvereinbar“, erklärt die Behörde. Von der Nutzung der Free/Standard-Apps 1.1.63 (Android) und 2.1.2 (iOS) raten die Beamten bis zur Verteilung des Master-Upgrades auf Version 3.x sogar konkret ab. Beim SecureSafe Password-Manager kann der Hersteller theoretisch auf die Daten zugreifen, da lediglich serverseitig ver- und entschlüsselt wird. Laut BSI muss man dem Hersteller daher vertrauen, dass die „kompensatorischen Maßnahmen“ effektiv derartige Zugriffe unterbinden. Hinter S-Trust Password Manager verbirgt sich die SecureSafe-App, sodass das hierfür Gesagte auch beim Sparkassen-Abkömmling gilt. Die Sparkassen werden den Betrieb davon zum 31. März 2026 einstellen.
Von dem Einsatz der letzten vier Produkte rät das BSI demnach eher ab. Die anderen Passwort-Manager haben keine derartig gravierenden Schwachstellen, wegen derer das BSI von der Nutzung abraten würde. Das BSI gibt in der Untersuchung noch die Hinweise, dass Verbraucher möglichst die Zwei-Faktor-Authentifizierung (2FA) nutzen sollten – idealerweise mit Hardware-Token und mit Einmal-Passwörtern (Time-Based One-Time Passwords, TOTP). Auf SMS-OTP sollten Nutzer hingegen verzichten, da diese etwa für SIM-Swapping anfällig seien.
Weiterlesen nach der Anzeige
Ende 2024 hatte das BSI bereits Passwort-Manager untersucht. Damals ging es um Code-Analysen von Open-Source-Anwendungen. Dabei stießen sie auf Schwachstellen, deren Risiko die Behörde als „hoch“ eingestuft hatte.
(dmk)
Brandenburg übernimmt im kommenden Jahr den Vorsitz der Verbraucherschutzministerkonferenz. Unter anderem der Online-Handel und die Stärkung der Verbraucherbildung sollen dabei im Fokus der Ministerinnen und Minister der Länder stehen, wie das Ministerium in Potsdam ankündigte. 2025 hat noch Berlin den Vorsitz inne.
Weiterlesen nach der Anzeige
Brandenburgs Agrar- und Verbraucherschutzministerin Hanka Mittelstädt (SPD) will am Vormittag (10.00 Uhr) zu zentralen Themen im Jahr 2026 Stellung nehmen. Zu diesen gehört den Angaben zufolge auch die Preistransparenz und -kontrolle bei Lebensmitteln und der Energieversorgung. Beratungen der Verbraucherschutzministerinnen und -minister sind im kommenden Jahr in Potsdam geplant.
In diesem Jahr hatte sich die Konferenz bereits mit dem Schutz vor betrügerischen Angeboten im Internet und dem Umgang mit Fake-Shops beschäftigt. Kunden erhalten dabei nach Bestellungen mangelhafte Ware oder auch gar keine Sendung. Die Verbraucherschutzminister der Länder forderten zudem den Bund auf, den illegalen Handel mit Hunden und Katzen stärker einzudämmen.
(dmk)
Bundeskanzler Friedrich Merz ist nicht gerade zimperlich, wenn es darum geht, Länder („ordentliches Stück Brot“), Städte („Belem“) oder ganze Bevölkerungsgruppen („kleine Paschas“ und „grüne und linke Spinner“) zu beleidigen. Wenn allerdings er selbst im Fokus steht, wird er offenbar schnell dünnhäutig.
Wie wenig Friedrich Merz verträgt, ließ sich bereits bei anlässlich einer Karnevalsrede von Marie-Agnes Strack-Zimmermann im Jahr 2023 beobachten. Da ging es weniger um Beleidigungen als vielmehr um spitzzüngige Kritik, die bei ihm schmale Lippen und Kopfschütteln auslöste. Nach der Rede trat Merzens Büro gar in Kontakt mit der bekannten Büttenrednerin, was Strack-Zimmermann süffisant verbreitete.
Durch Recherchen verschiedener Medien kam nun heraus, dass Friedrich Merz seit 2021 – noch als Oppositionsführer der Union – zahlreiche Strafanträge wegen mutmaßlicher Beleidigungen gegen ihn gestellt hat. In mindestens zwei Fällen führten diese zu Hausdurchsuchungen.
Die Strafanträge sind laut den Recherchen anfangs auf Initiative von Merz entstanden. Seit Merz Kanzler ist, lässt er quasi von Amts wegen ermitteln, indem er den Ermittlungen nicht widerspricht. Die „Welt“ geht davon aus, dass Merz vor seiner Amtszeit als Unions-Chef Hunderte Strafanträge gestellt hat. Ein netzpolitik.org vorliegendes Dokument der Kanzlei Brockmeier, Faulhaber, Rudolph, die Merz in seiner Zeit als Bundestagsabgeordneter vertreten hat, mit fortlaufenden Fallnummern untermauert diese Schätzungen. Zwischen Mai und Dezember dieses Jahres sind laut Informationen des nd etwa 170 Strafanzeigen wegen Beleidigung gestellt worden.
Eine offizielle Bestätigung der Fallzahlen gibt es nicht, wie der Tagesspiegel berichtet. Die Zeitung befindet sich in juristischen Auseinandersetzungen mit dem Kanzleramt, das in dieser Causa trotz Informationspflicht mauert und sich anwaltlich gegen das Informationsbegehren der Presse wehrt.
Dass ohne die aktive Mithilfe von Friedrich Merz in seiner Funktion als Bundeskanzler ermittelt werden kann, ermöglicht Paragraf 188 des Strafgesetzbuches, der Amtsträger:innen und Politiker:innen bis in die kommunale Ebene hinein vor Beleidigungen schützen soll. Der Paragraf bietet – zusammen mit den Paragrafen 90 (Verunglimpfung des Bundespräsidenten) und Paragraf 90b (Verfassungsfeindliche Verunglimpfung von Verfassungsorganen) – quasi moderne Möglichkeiten, „Majestätsbeleidigungen“ zu ahnden. Im Gegensatz zum klassischen Beleidigungsparagraf 185 StGB können Staatsanwaltschaften beim Paragraf 188 StGB von Amts wegen ermitteln. Bei der klassischen Beleidigung braucht es einen Antrag der betroffenen Person.
Die mutmaßlichen Beleidigungen werden den Ermittlungsbehörden – und später dem Bundeskanzleramt – vermutlich überhaupt erst bekannt, weil die Infrastruktur von Hatespeech-Meldestellen diese auffindet und an die Bundesbehörde weiterleitet. Laut den Recherchen der Tageszeitung „Die Welt“ ist daran maßgeblich die dem hessischen Innenministerium unterstellte Meldestelle „Hessen gegen Hetze“ beteiligt. Sie übermittelt Meldungen an die Zentrale Meldestelle für strafbare Inhalte im Internet (ZMI), die beim Bundeskriminalamt (BKA) angesiedelt ist. 92 Prozent aller Paragraf-188-Meldungen, die das ZMI erhält, stammen von der hessischen Meldestelle. Andere Meldestellen wie „Respect!“ oder die Landesmedienanstalten seien laut nd in weit geringerem Umfang beteiligt. Insgesamt habe das ZMI nach Auskunft eines Sprechers in den ersten neun Monaten dieses Jahres 5155 gemeldete Fälle mit dem Straftatbestand des Paragrafen 188 StGB kategorisiert.
Aber auch privatwirtschaftliche Dienste wie „So-Done“ haben bei der Verfolgung von Beleidigungen offenbar ihre Finger im Spiel. Laut Recherchen der Welt hat der Rechtsanwalt und FDP-Politiker Alexander Brockmeier die meisten der Strafanzeigen von Merz unterschrieben, die dieser während seiner Zeit als Bundestagsabgeordneter gestellt hat. Brockmeier hat die So Done GmbH zusammen mit seiner Parteikollegin Franziska Brandmann gegründet, eine Art Legal Tech Unternehmen, das Hate Speech verfolgt.
Laut Informationen der Welt haben neben Friedrich Merz in der Vergangenheit unter anderem Robert Habeck (Grüne), Julia Klöckner (CDU), NRW-Ministerpräsident Hendrik Wüst (CDU) und Bundesforschungsministerin Dorothee Bär (CSU) den Dienst in Anspruch genommen. Der Bundeskanzler nutze den Dienst mittlerweile nicht mehr.
Gleich acht Strafanträge von Friedrich Merz hat der Berliner Umwelt- und Klimaaktivist Tadzio Müller erhalten. Müller hatte Friedrich Merz auf Bluesky und Twitter mehrfach als Beispiel für seine Theorie der „Arschlochgesellschaft“ herangezogen und den Kanzler kontexualisierend wahlweise ein „schamloses“ oder „rassistisches Arschloch“ genannt.
Müllers Rechtsanwalt Jannik Rienhoff findet es laut dem nd falsch, wenn Merz Postings zur Anzeige bringen lässt, die einen klaren politischen Kontext haben. Da dürfe man viel sagen und das zu Recht. „Bei einer Formalbeleidigung würde ich es verstehen, allerdings könnte Merz auch darüber stehen“, so Rienhoff gegenüber dem nd. Den Paragrafen 188 StGB, der Ermittlungen auch ohne direkten Strafantrag des Bundeskanzlers ermöglicht, kritisiert der Anwalt dabei grundsätzlich. Dieser sorge unnötigerweise für hohe Kosten und für einen enormen Aufwand für Betroffene.
Das sieht auch Tadzio Müller so. Er ist überzeugt, dass es bei den Anzeigen nicht um die Bekämpfung von Hass im Netz gehe, sondern dass sie eine neue Form von Cyber-Bullying darstellen: „Ressourcenstarke Akteure wie Merz haben mit diesen Verfahren ein weiteres Werkzeug in der Hand, um Leute aus dem Diskurs zu drängen.“
Es handle sich um ein Werkzeug, das nicht nur emotional, sondern auch ökonomisch schmerze: „Jede dieser Anzeigen produziert Anwaltskosten bei den Betroffenen“, so Müller gegenüber netzpolitik.org.
Ähnlich sieht das auch Eva Meier*, die erst im November Post vom Landeskriminalamt Hamburg wegen einer mutmaßlichen Beleidigung des Kanzlers erhalten hat: „Seine Bürgerinnen und Bürger systematisch mit Strafverfahren wegen Bagatellbeleidigungen zu überziehen, ist eines Kanzlers nicht würdig“, sagt sie gegenüber netzpolitik.org. „Das ist kein Vorgehen gegen Hass im Netz, sondern schränkt gezielt die freie Meinungsäußerung ein.“
*Der wahre Name ist der Redaktion bekannt.
Der in Notepad++ integrierte Updater hat sich Malware unterschieben lassen und diese auf einigen PCs installiert. Der Entwickler des mächtigen Open-Source-Texteditors reagiert mit einem Update auf Notepad++ v8.8.9. Nutzerinnen und Nutzer müssen die Aktualisierung derzeit manuell vornehmen.
Weiterlesen nach der Anzeige
In einem News-Beitrag auf der Notepad++-Webseite erklärt der Entwickler Don Ho, dass „einige Sicherheitsexperten von Vorfällen berichtet haben, bei denen Internetverkehr übernommen wurde, der Notepad++ betrifft“. Demnach haben die Untersuchungen ergeben, dass Traffic des Notepad++-Updaters WinGUp „gelegentlich auf bösartige Server umgelenkt wurde, was im Herunterladen kompromittierter ausführbarer Dateien mündete“. Der IT-Sicherheitsforscher Kevin Beaumont berichtet von mindestens drei Organisationen, die „Interessen in Südasien haben“, die derart gezielt angegriffen wurden.
Wie Beaumont ausführt, nutzt der Updater eine Versionsprüfung, bei der die URL „ abgefragt und eine dadurch ausgelieferte XML-Datei ausgewertet wird. Die in der XML-Datei aufgeführte Download-URL nutzt der Updater und speichert die Datei im %TEMP%-Ordner und führt sie aus. Wer diesen Traffic abfangen und manipulieren kann, kann dadurch die Download-URL ändern. Bis Version 8.8.7 von Notepad++ nutzte der Entwickler ein selbst signiertes Zertifikat, das in den Github-Quellcodes bereitsteht. So war es möglich, manipulierte Updates zu erstellen und Opfern unterzuschieben. Seit v8.8.7 setzt Notepad++ hingegen auf ein legitimes GlobalSign-Zertifikat, die Installation eines eigenen Notepad++-Root-Zertifikats ist seitdem nicht mehr nötig.
Mit Notepad++ v8.8.8 forciert der Updater WinGUp nun als Download-Quelle github.com. Die Version 8.8.9 aus der Nacht zum Mittwoch härtet Notepad++ und WinGUp weiter, sodass diese Signatur und Zertifikate von heruntergeladenen Installern beim Update-Prozess korrekt prüfen. Schlägt der Check fehl, bricht der Update-Vorgang ab. Don Ho merkt an, dass die Untersuchungen andauern, um herauszufinden, wie das Traffic-Hijacking in den beobachteten Fällen abgelaufen ist.
Kevin Beaumont listet noch einige Indizien für Kompromittierungen auf (Indicators of Compromise, IOCs). So sind Verbindungen von „gup.exe“ zu anderen URLs als „notepad-plus-plus.org“, „github.com“ und „release-assets.githubusercontent.com“ verdächtig. Ebenso sollte Aufmerksamkeit erregen, wenn „gup.exe“ unübliche Prozesse startet – es sollten lediglich „explorer.exe“ und „npp*“-bezogene Notepad++-Installer darunter laufen, die seit Versionen 8.8.8 zudem mit GlobalSign-Zertifikat signiert sind. Nach den beobachteten Angriffen fanden sich offenbar zudem Dateien namens „update.exe“ oder „AutoUpdater.exe“ (diesen Namen nutzt Notepad++ selbst überhaupt nicht) im Benutzer-TEMP-Verzeichnis, in das „gup.exe“ die Updater heruntergeladen und von dort ausgeführt hat.
Notepad++ v8.8.8 findet derzeit die Aktualisierung noch nicht.
(Bild: heise medien)
Beaumont empfiehlt, mindestens auf Notepad++ v8.8.8 zu aktualisieren. Die Fassung 8.8.9 ist jedoch noch weiter gehärtet. Der integrierte Updater aus Notepad++ v8.8.8 findet die Version derzeit noch nicht, auch „winget“ findet derzeit keinen neueren Softwarestand. Die jüngste Fassung steht jedoch als manueller Download auf der Notepad++-Webseite zum Herunterladen bereit.
Weiterlesen nach der Anzeige
Notepad++ ist häufiger im Visier von bösartigen Akteuren, da die Software populär und weitverbreitet ist. Im vergangenen Jahr etwa bat Don Ho um Hilfe, eine „parasitäre Webseite“ loszuwerden, die sich in der Google-Suche an die originale Notepad++-Seite heranrobbte. Sie habe unlautere Absichten gehabt. Grundsätzlich tauchen häufiger gefälschte Seiten in den Suchergebnissen auf, die etwa virenverseuchte Dateien anbieten.
Siehe auch:
(dmk)
Illustrierte Reise nach New York City › PAGE online
Jetzt patchen! Erneut Attacken auf SonicWall-Firewalls beobachtet
Aus Softwarefehlern lernen – Teil 3: Eine Marssonde gerät außer Kontrolle
Top 10: Die beste kabellose Überwachungskamera im Test
Fake It Untlil You Make It? Trifft diese Kampagne den Nerv der Zeit? › PAGE online
SK Rapid Wien erneuert visuelle Identität
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Schluss mit FOMO im Social Media Marketing – Welche Trends und Features sind für Social Media Manager*innen wirklich relevant?
